Sto controllando il tag http-only di alcune pagine web e ho un dubbio quando sto cercando di verificare. Ad esempio nell'immagine seguente:
Ci sono alcuni cookie con il flag http-only attivo ma non so se questi cookie contengono token o informazioni importanti. Come posso saperlo? Grazie.
Di solito non sai cosa c'è nel cookie, dato che le sue informazioni devono essere utilizzate solo dal server. Alcuni server crittografano il cookie per proteggerne il contenuto e impedire all'utente di modificarlo.
Ora, per il HttpOnly flag.
Era qualcosa "inventato" da Microsoft su IE6 . È un per il browser con intestazione aggiuntiva per non consentire agli script sul lato client di accedere al cookie. Se il flag non è impostato, document.cookies restituirà il suo contenuto e un exploit XSS può compromettere i cookie dell'utente. Con il flag impostato, il browser non consentirà agli script sul lato client di leggere il suo contenuto e invierà solo il suo contenuto al server web.
Se i dati dei cookie sono utili per il client (come la lingua, o le preferenze di ordinamento o qualsiasi preferenza lato client), non impostare HttpOnly flag. Se i dati vengono utilizzati solo sul lato server (come PHPSESSID , ASPSESSION o qualsiasi cosa che il lato client non utilizza), imposta HttpOnly e rende più difficile un exploit XSS per rubare i cookie.
Leggi altre domande sui tag cookies